Fortigate

สำหรับ Manual นี้ จะเริ่มตั้งแต่การ Config Interface LAN ก่อนที่จะเริ่ม Config ตาม Manual นี้ให้ Config ขา WAN เพื่อให้ Fortigate สามารถออกอินเตอร์เน็ตได้ก่อนนะครับ

การ Config จะประกอบไปด้วย 6 หัวข้อหลักดังนี้

เป็นการตั้งค่า Fortigate ให้ Connect กับ Radius Server ของ Seara Cloud
เป็นการตั้งค่าในส่วนของ User ซึ่งจะทำงานร่วมกับ Menu บน Seara Cloud ในการตั้งชื่อ User Group ชื่อจะต้องตรงกับชื่อ Package บน Seara Cloud ด้วย ถ้าหากมี Package มากกว่า 1 Package ก็ต้องสร้าง User Group ให้ครบตามจำนวน Package นะครับ
เป็นการกำหนด Network ของขา LAN เพื่อที่จะนำ Network นี้ไปใช้ในการทำ Captive Portal Policy
เป็นการตั้งค่า Interface ที่จะนำมาใช้สำหรับขา LAN ซึ่งจะรวไปถึงการ Config ของขา LAN
เป็นการ Upload file certificate เข้าไปใน Fortigate
เป็นการตกำหนด Policy ต่างๆเพื่อให้ Client สามารถใช้งาน Internet โดยการ Authentication
เป็นการเพิ่ม NAS ID ของ Fortigate เข้าไปใน Seara ซึ่ง Login Page และ Radius จะ Call ผ่าน NAS ID ของ Fortigate

##### ในการ Config ควรจะเรียงลำดับตามหัวข้อด้านบนไปที่ละหัวข้อ #####

ตั้งค่า Radius

เลือก Menu User & Authentication
เลือก Menu RADIUS Server
กด Create New

Name : ตั้งชื่อ Radius Server

Authentication method : เลือกเป็น Specify จากนั้นเลือก Authen type เป็น PAP

NAS IP : ใส่ IP Gateway ของขา LAN

Primary Server

IP/NAME : (IP Radius ดูจาก E-Mail ที่ได้รับ)

Secret : (secret ดูจาก E-Mail ที่ได้รับ)

จากนั้นกด Test Connectivity

สังเกตว่า Connection status จะต้องขึ้น Successful

กดที่ >_ Edit in CLI

พิมพ์คำสั่ง config user radius หากพิมพ์ถูกต้องจะขึ้นตามภาพนี้

พิมพ์คำสั่ง edit ตามด้วยชื่อ Radius ที่เราตั้งไว้ก่อนหน้านี้ ตั้วอย่างจะชื่อ Seara Auth หรือพิมพ์คำว่า edit แล้วกด shift+? แล้วจะแสดงชื่อ Radius profile ของเราขึ้นมา

การ Setting Connect To Radius Server Copy คำสั่งไปวางบน Terminal ของ Fortigate ได้เลยครับ

set server (IP Radius ดูจาก E-Mail ที่ได้รับ)
set secret (secret ดูจาก E-Mail ที่ได้รับ)
set nas-ip 172.16.10.1 (ใส่ ip Gateway ของขา LAN)
set acct-interim-interval 60
set radius-coa enable
set auth-type pap

การ Setting Radius Accounting Copy คำสั่งไปวางบน Terminal ของ Fortigate ได้เลยครับ

config accounting-server
edit 1
set status enable
set server (IP Radius ดูจาก E-Mail ที่ได้รับ)
set secret (secret ดูจาก E-Mail ที่ได้รับ)
set port 1813

ถ้าทำครบตามขั้นตอนแล้ว เมื่อพิมพ์คำสั่ง show ควรจะได้ผลตามภาพนี้

ตั้งค่า User Grops

ไปที่ Menu User & Authentication
User Groups
กด Create New

ตั้งชื่อ Group
กด Add เพื่อเพิ่ม Radius Server ให้กับ User Group
ตั้งค่าในส่วนของ Radius

Remote Server : เลือก Radius Server ที่เราสร้างก่อนหน้านี้

Groups : เลือกเป็น Specify แล้วตั้งชื่อ Package (ชื่อ Package จะต้องตรงกับ ชื่อ Package บน Seara Cloud)

หากบน Seara Cloud มี Package มากกว่า 1 Package ให้เพิ่ม User Group ขึ้นมาใหม่ให้ครบตามจำนวนของ Package และตั้งชื่อ User Group ให้ตรงกับชื่อ Package บน Seara Cloud ด้วย

การตั้งค่า Address

เข้าไปที่ Menu Policy & Objects
เลือก Menu Address
กด Create New แล้วเลือก Address

Name : ตั้งชื่อให้กับ Address

Type : เลือก Type เป็น Subnet

IP/Netmask : ใส่ Network และ Subnetmask ของขา LAN

Interface : เลือก any

Create เพิ่มอีก 1 Address

Name : ตั้งชื่อให้กับ Address

Type : เลือก FQDN

FQDN : ใส่ Domain Name ของ Seara ที่ได้รับใน E-Mail ซึ่งในตัวอย่างจะเป็น demo.seara-portal.net

การตั้งค่า Interface สำหรับ Internal ( ขา LAN )

เลือก Interface สำหรับขา LAN ในตัวอย่างจะใช้ Interface ที่ชื่อ Internal 3

Config LAN Interface

Alias : ตั้งชื่อให้กับ Interface

Address : กำหนด IP address สำหรับขา LAN

Administrative Access : ตั้งค่าการเข้าถึง Interface ของขา LAN (ให้ตั้งค่าตามภาพเลยนะครับ)

ตั้งค่า DHCP Server

DHCP status : คลิ๊ก Enable

Address range : ตั้งค่าช่วงของ dhcp ที่ต้องการแจกให้กับ Client

Netmask : ตั้งค่า Subnetmask

DNS server 1 : ตั้งค่า primary dns

DNS server 2 : ตั้งค่า secondary DNS

Network

Security mode : เลือกเป็น Captive Poral

User access : เลือกเป็น Restricted to Groups จากนั้นให้เพิ่ม Package ที่ได้สร้างไว้ก่อนหน้านั้นให้ครบ

Exempt destinations/services : เพิ่ม Address ที่เราได้สร้างไว้ให้ครบ

หากตั้งค่าครบแล้วให้กด OK

Import SSL Certification

ไปที่ Menu System
เลือก Menu Certificates
กด Import เลือก Local Certificate

ไปที่ Menu PKCS#12 Certificate
Certificate with key file

Upload file Certificate ของเราเข้าไป (Certificate file ต้องแปลงเป็นไฟล์นามสกุล .pfx ก่อนนะครับ)

จากนั้นกด OK เพื่อ Save

Password : ใส่ Password สำหรับ Certificate File

Certificate name : ต้องชื่อ Domain name

การตั้งค่า Firewall Policy

เป็นการตกำหนด Policy ต่างๆเพื่อให้ Client สามารถใช้งาน Internet โดยการ Authentication

ไปที่ Menu Policy & Objects
เลือก Menu Firewall Policy
กด Create New

Name : ตั้งชื่อ Policy

Incoming Interface : เลือก Interface ขา LAN

Outgoing Interface : เลือก Interface ขา WAN

Source : เลือก Address ที่เราสร้างขึ้นมาก่อนหน้านี้

Destination : All

Acction : ACCEPT

Firewall / Network Options

NAT : Enable ให้เป็นสีเขียว

เพิ่ม SSL Certificate ใน Policy

SSL inspection : กด Create

Name : ตั้งชื่อให้กับ SSL

SSL Inspection Otions

Enable SSL Inspection of : เลือกเป็น Protecting SSL Server

Server certificate : เลือก certificate ที่เรา Upload เข้าไปก่อนหน้านี้

Protocol Port Mapping

HTTPS : 443

จากนั้นกด OK เพื่อ Save

SSL Inspection : เลือก Certificate ที่เราได้ตั้งชื่อไว้

จากนั้นกด OK เพื่อ Save Policy

เปิด CLI Console ของ Fortigate ขึ้นมา

พิมพ์คำสั่งตาม Code ด้านล่าง

ตรง set auth-cert ให้ใส่ชื่อ domain ที่เราตั้งไว้ตอน Import certificate file

config user setting 

set auth-cert fortiseara.captive-portal.net 

end

พิมพ์คำสั่งตาม Code ด้านล่าง

ตรง set portal-addr ให้ใส่ชื่อ domain ที่เราตั้งไว้ตอน Import certificate file

config firewall auth-portal 

set portal-addr fortiseara.captive-portal.net

end

Add Fortigate on Seara

Add Device : เข้าไปที่ Menu Site บน Seara แล้วกด เพิ่ม NAS จากนั้นทำตามขั้นตอนดังในภาพ

ปล. IP WAN จะต้องเป็น Public IP แบบ Static เท่านั้น

.............................. เสร็จสิ้นการ Config เบื้องต้น ..............................

PreviousProblem and Solution NextTraffic Shaping

Last updated 5 months ago

Was this helpful?